Google má speciální „bug bounty“ program pro Obchod Play

2019-08-30T07:00:00+02:002019-08-29T19:05:17+02:00Přemysl Vaculík

Přemysl Vaculík • 30. 8. 2019

Ještě před mnoha lety znamenalo objevení chyby v softwaru možnost zneužití útočníky. Zpravidla to končilo trestním stíháním, ale doba se změnila stejně jako přístup firem. Dnes již mají nejrůznější programy, v rámci kterých odměňují ty, kteří naleznou chybu v softwaru a nahlásí ji ještě před zneužitím. Těmto programům se říká „bug bounty“. Google jich má několik a zpravidla se týkají jen jeho služeb, aplikací a jiných softwarových řešení. Nyní jsme se ale dočkali poměrně zajímavé novinky v rámci ekosystémů kolem Androidu.

Obchod Play a „bug bounty“

Google se snaží provádět nejrůznější kontroly aplikací, ale nelze odhalit vše, co by mohlo vést ke kompromitování zařízení, uživatele nebo infrastruktury. Aby ochránil uživatele aplikací pro Android, spouští nový „bug bounty“ program pro aplikace, které mají více než 100 milionů instalací.

Takových není mnoho, ale na druhou stranu jsou nejpoužívanější a něčím se začít musí. V případě, že někdo objeví chybu nebo bezpečnostní riziko u aplikace s takovým dosahem a vše nahlásí, Google jej finančně odmění. Je nutné podotknout, že Google je ochoten vyplatit desítky tisíc dolarů, samozřejmě záleží na závažnosti daného problému.

Například se někomu podaří objevit kritickou chybu u aplikace Word od Microsoftu a po nahlášení Google vyplatí odměnu. Vzhledem k tomu, že i Microsoft má takový program, tak daný člověk může dostat odměnu také od autora aplikace. V tomto ohledu se může jednat o výnosný byznys.

Kromě opravení zranitelnosti se navíc všechny subjekty ponaučí, na co si dát pozor, případně co příště kontrolovat. V tomto ohledu se jedná o velmi výhodnou příležitost pro všechny zúčastněné subjekty. Pokud se chcete pustit do hledání zranitelností u aplikací pro Android splňující jedinou podmínku, tak pro nahlášení chyby můžete využít speciální stránku hackerone.com/googleplay.

Zdroj: androidpolice.com